Protección de Infraestructuras Críticas

Seguridad en Sistemas de Control Industrial

Julio César Ardita, CTO CYBSEC jardita@cybsec.com

Presentada por:

21 de mayo de 2015

Aclaración:

© Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

Agenda Introducción a los ICS Riesgos actuales Estrategias de Seguridad Estándares y lineamientos de seguridad

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

Introducción a los ICS

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

Alcance de las Infraestructuras críticas - Administración - Espacio - Industria Nuclear - Industria Química - Instalaciones de Investigación - Agua - Energía - Salud - Tecnologías de la Información y las Comunicaciones (TIC) - Transporte - Alimentación - Sistema Financiero y Tributario

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

Tipos de Industrial Control Systems (ICS)

Supervisory Control And Data Acquisition (SCADA)

Automation

Process Control Systems (PCS)

Distributed Control Systems (DCS)

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

Situación actual

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

Riesgos actuales

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

Vectores de ataque en ICS

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

Intrusiones a ICS

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

Intrusiones a ICS

http://ics-cert.us-cert.gov/sites/default/files/ICS-CERT_Monitor_April-June2013.pdf

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

ICS para los chicos

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

Estrategias de seguridad

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

Defensa en profundidad

IDS Intrusion Detection System IPS Intrusion Prevention System DMZ DeMilitarized Zone VPN Virtual Private Network (cryptographic) AV Anti-Virus (anti-malware) NAC Network Admission Control

• Protección del perímetro – Firewall, IPS, VPN, AV – Host IDS, Host AV – DMZ

• Seguridad interna – Firewall, IDS, VPN, AV – Host IDS, Host AV – IEEE P1711 (AGA 12) – NAC – Scanning

• Monitoreo • Management

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

Disponibilidad, integridad y confidencialidad

• La red corporativa requiere CID – La confidencialidad es lo que más importa

• Los ICS requieren DIC

– La disponiblidad e integridad importan más – La información de control no necesita de tanta

confidencialidad • Asegurar la disponibilidad es complejo

– La criptografía no ayuda directamente – Debe haber protección contra DOS, Gestión de recursos,

QoS y redundancia pero con altos niveles de disponibilidad

La seguridad no debe reducir la disponibilidad!

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

Los dispositivos de los ICS son frágiles

• Muchas de las implementaciones del stack IP son frágiles – Algunos dispositivos de “cuelgan” con un simple ataque de

ping o un scanning de puertos – Muchos incidentes de seguridad se reportan sobre los ICS

cuando personas de sector de IT corren un scanning de vulnerabilidades de forma bien intencionada

• Los dispositivos ICS modernos son mucho más sofisticados

– Algunos IED incluyen un web server para configuración y monitoreo de status

– Más lineas de código tienden a más vulnerabilidades – Los IED más modernos requieren un sistema de patch management

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

Sistemas sin patches

• La mayoría de los ICS no aplican patches – Particularmente Servidores Windows – No hay disponibilidad de patches para versiones viejas de

sistemas operativos • Los patches del SO y aplicaciones pueden “romper” el ICS

– Los patches de SO son testeados en entornos corporativos

• Patches no certificados pueden invalidar la garantía • Aplicar patches usualmente requiere hacer un reboot • Antes de la instalación de un patch:

– Certificación del vendedor (típicamente una semana) – Testing en el laboratorio por el operador – Deployment planificado en sistemas menos críticos – Paradas programadas (1 o 2 veces al año).

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

Uso limitado del Anti-Virus local • Las operaciones de los AV pueden causar fallas en el sistema

– 3am no es el mejor horario que otro para un scanning full del disco en un sistema que opera 24x7x365

• Los vendedores de ICS recien ahora están comenzando a

soportar AV – Los AV dependen de la base de firmas que posean

(actualización) – Las actualizaciones pueden requerir procesos de testing

previos

• Uso del criterio de whitelist – Enumerar las aplicaciones (procesos) “aprobadas”

• Los AV ven un nuevo mercado: Symantec Critical System

Protection

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

Autenticación y autorización pobre

• Muchos ICS tienen mecanismos de autenticación pobres y de autorización muy limitados

• Muchos protocolos utilizan passwords en texto plano (telnet, ftp) • La mayoría de los dispositivos de ICS no soportan criptografía • La mayoría de las veces el vendedor deja la password por

defecto (escrita en el manual de instalación y conocida) • Los passwords de los dispositivos son complicados de

gestionar de forma adecuada: – Usualmente el mismo password es compartido por todo el

sistema de ICS y nunca se cambia (o no se puede cambiar) – Esto pasa HOY EN DIA!

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

Bajo nivel de auditoría y logging

• La mayoría de los ICS tienen un nivel muy bajo de auditoría de actividades de seguridad (en varios casos, no existe) – Los intentos de intrusión o intrusiones pasan desapercibidos

• Cuando los logs se almacenan, raramente se revisan

(solamente en el caso de un incidente)

• No hay monitoreo proactivo

• Estan comenzando a aparecer aspectos regulatorios:

– SOX – ICS-CERT – US-CERT

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

Uso no apropiado de las Estaciones de Trabajo de los ICS

• La navegación en Internet desde Estaciones de Trabajo HMI pueden infectar el ICS – Vulnerabilidades del Browser – Vulnerabilidades Java (embebido en el Browser) – Downloads – Cross-site scripting – Spyware

• Envío de correo electrónico desde / hacia los Servidores de

Control pueden infectar los ICS – Vulnerabilidades en outlook, sendmail, etc.

• Almacenamiento en el disco local pueden causar un “crash” del

sistema operativo/aplicación – Almacenamiento de videos, música, etc.

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

Acceso por parte de terceros • El mantenimiento, programación y soporte muchas veces es

realizado por el proveedor. – Muchos ICS poseen puertos de mantenimiento abiertos – Los equipos infectados de los proveedores pueden afectar

nuestro ICS

• Los terceros pueden requerir información sobre el status en tiempo real – El acceso de terceros muchas veces no implementa

mecanismos de seguridad – Los canales de acceso de parte de terceros son una vía de

acceso por parte de los intrusos

• Terceros pueden incluir: entes reguladores, proveedores de telecomunicaciones, socios comerciales, proveedores de los sistemas, agencias de monitoreo, etc.

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

El factor humano

• Usualmente las redes de ICS son administradas por ingenieros del área industrial que son distintos del departamento de IT – El personal del ICS no son expertos en IT y Seguridad – El personal de IT y Seguridad no es experto en ICS

• En la mayoría los casos, el personal que gestiona los ICS es

“avanzado en edad tecnológica”. – Poca gente joven ingresa en este campo. – Hay pocos programas académicos. – Mucho conocimiento basado en experiencia y contacto con

proveedores.

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

Estándares y lineamientos de seguridad

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

ICS CERT

The Industrial Control Systems Cyber Emergency Response Team

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

ICS CERT

The Industrial Control Systems Cyber Emergency Response Team http://ics-cert.us-cert.gov/Standards-and-References

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

NIST Special Publication 800-82 NIST Special Publication 800-82 Guide to Industrial Control Systems (ICS) Security Junio 2011 - Introducción a los sistemas de control industriales (ICS) - Amenazas y vulnerabilidades de los ICS - Desarrollo y aplicación de un programa de seguridad para ICS - Arquitectura de red - Controles de seguridad de los ICS - Auditoría de seguridad de ICS

Nueva versión de Febrero 2015 http://csrc.nist.gov/publications/drafts/800-82r2/sp800_82_r2_second_draft.pdf

Protección de Infraestructuras Críticas

Seguridad en Sistemas de Control Industrial

Julio César Ardita, CTO CYBSEC jardita@cybsec.com

Presentada por: